Der sicherste Weg, Cybervorfälle zu verhindern, ist logischerweise, zu vermeiden, dass Malware in die Unternehmensinfrastruktur eindringt. Bei der Entwicklung von Strategien für die Informationssicherheit konzentrieren sich die Experten daher meist auf die offensichtlichsten Angriffsvektoren, wie z. B. E-Mails. Eine Vielzahl der Angriffe beginnt tatsächlich mit einer E-Mail, dennoch ist es wichtig, daran zu denken, dass Cyberkriminellen viele andere Methoden zur Verbreitung von Malware zur Verfügung stehen. Die Experten des Global Research & Analysis Teams von Kaspersky haben sich mit ungewöhnlichen Methoden der Malware-Infektion und -Verbreitung befasst, auf die sie bei der Analyse der jüngsten Bedrohungen gestoßen sind.
Typosquatting zum Täuschen von Tools
Die Schöpfer der Malware AdvancedIPSpyware haben beschlossen, ihren Code in das Tool Advanced IP Scanner für Systemadministratoren einzubetten. Dazu erstellten sie zwei Websites mit genau demselben Design wie das Original, aber mit Domainnamen, die sich nur durch einen Buchstaben unterschieden. Mit anderen Worten: Sie gingen davon aus, dass die Opfer nach dem Tool zur Überwachung des lokalen Netzwerks suchen und das Backdoor-Programm von der gefälschten Website herunterladen würden. Interessanterweise war die Schadversion von Advanced IP Scanner mit einem angeblich gestohlenen legitimen digitalen Zertifikat signiert.
Links unter YouTube-Videos
Die Betreiber von OnionPoison versuchten ihr Glück mit einer ähnlichen Masche: Sie erstellten ihre eigene Schadversion des Tor-Browsers (nur ohne digitale Signatur). Um ihren Fake-Browser zu verbreiten, veröffentlichten sie einen Link unter einem YouTube-Video über Online-Anonymität, das eine Anleitung zur Installation von Tor darstellte. Die infizierte Version konnte nicht aktualisiert werden und enthielt eine Backdoor zum Download einer weiteren schädlichen Bibliothek. Diese wiederum ermöglichte es den Angreifern, beliebige Befehle im System auszuführen sowie den Browserverlauf und die IDs von WeChat- und QQ-Konten abzufangen.
Malware verbreitet sich über Torrents
Die Entwickler von CLoader haben ihre Malware-Installer als raubkopierte Spiele und nützliche Software getarnt. Diese Methode richtet sich für gewöhnlich überwiegend an Privatanwender, doch heutzutage – wo die Arbeit aus dem Home-Office zur Norm geworden ist und die Unternehmensgrenzen somit zunehmend verschwimmen – können auch schädliche Torrents eine Bedrohung für Arbeitsrechner darstellen. Opfer, die versucht haben, raubkopierte Software über Torrents herunterzuladen, haben sich stattdessen Malware eingefangen, die als Proxy-Server auf dem infizierten Rechner läuft und zusätzliche Malware installiert oder unbefugten Fernzugriff auf das System gewährt.
Lateral Movement über legitime Tools
Die neuesten Versionen der Ransomware BlackBasta können sich mithilfe bestimmter Microsoft-Technologien über ein lokales Netzwerk verbreiten. Sobald ein Computer infiziert ist, stellt sie über die LDAP-Bibliothek eine Verbindung zu Active Directory her, um eine Liste der Computer im lokalen Netzwerk zu erhalten, kopiert die Malware auf diese und führt sie über COM (Component Object Model) aus der Ferne aus. Diese Methode hinterlässt nur wenige Spuren auf dem System und ist daher schwer zu entdecken.
So schützen Sie sich
Diese Beispiele zeigen, dass die Unternehmensinfrastruktur einen umfassenden Schutz benötigt. D. h., eine Lösung, die alle eingehenden E-Mails auf Phishing, schädliche Links und Anhänge scannt, wird wahrscheinlich vor einer Vielzahl der Angriffe schützen. Denken Sie aber daran, dass jeder Computer mit Zugang zum Internet mit einem eigenen Anti-Malware-Schutz ausgestattet werden sollte. Um ein noch besseres Verständnis dafür zu erlangen, was in Ihrem Unternehmensnetzwerk vor sich geht, ist der Einsatz einer EDR-Lösung zusätzlich ratsam.